2013年雲計算風險問題或愈加顯著

企業或出於降低成本，或出於創新的驅動，正不斷邁入雲計算。 特別是在國內，政府對雲計算發展重視有加，政策、資金不斷下發促進了雲計算產業的發展。 近期，有消息指出工信部正在加緊編制雲計算產業發展指導意見，並有望于2013年兩會後正式出臺。 因此2013年對於雲計算而言，將是大力發展、加速普及的一年。

對此，賽門鐵克大中國區技術支援部總監李剛認為，隨著雲計算發展步入縱深，安全風險問題將逐步揭露並在2013年日益顯著，但隨著業界重視程度不斷增加，雲服務和產業環境將會向更安全方向演進。 無獨有偶，分析機構Gartner報告預計，雲計算的增長將會成為2013年各種安全趨勢的推動力量，也從側面印證了2013年將是雲計算安全發展的重要一年。

影子IT擴大安全風險

目前，雲計算所遭受的質疑聲中，最受關注與最大的挑戰便是安全。 眾多研究報告指出安全是阻礙企業邁向雲計算的首要因素。 同時對於眾多中國企業，出於長期自建自用IT資源的思維所致，當前對雲計算服務模式接受度並不高，對資料安全性、洩露風險等顧慮重重。 這在李剛看來，其實可以轉化為企業如何衡量企業IT部門與營業單位的價值比重問題。

「企業決策者需要考慮IT系統本身的價值和首要價值是什麼，其次，明確企業自身提供的核心價值輸出是什麼。 」李剛表示，當IT部門是企業競爭力的重要體現時，可以通過雲的方式將非核心價值部分交付給雲服務供應商，從而可以集中更多資源集中在競爭價值上。

企業通過雲計算服務模式使其不用擔心自建IT設施所花費成本，並提升資訊化水準，對於廠商、供應商而言，也能創造更多的市場機會，是一個雙贏的選擇。 但鑒於雲計算仍處於發展初期階段，還需要一段時間進行企業思維模式轉換及市場培育。

同時對於即將或已將進入雲的企業而言，企業需要意識到雲進入到企業內部後為企業帶來的安全管控變化。 目前隨著企業可以選擇的雲服務逐漸增多，並且比傳統IT系統使用起來更為方便，並有利於公司業務的快速回應，一些企業部門、個人便放棄了需要長時間開發的傳統IT服務，轉投立即使用的外部雲端服務。 源于此，也出現了許多不受IT部門管控的影子IT服務（Shadow IT）。 這在李剛看來，這些影子IT並沒有融入企業IT治理的合規流程，在將企業資料託管在雲端伺服器的過程中，合規評估、風險評估將變得十分困難。

李剛舉例表示，目前許多企業人員都喜歡採用Dropbox雲端存儲服務方便地隨時存取檔案，但其中很可能將公司一些專案敏感性資料、設計、智慧財產權等資訊脫離公司管控。 這對於企業而言將是一個很大的風險洩露管道。 據國外一家存儲管理軟體公司Nasuni最近針對企業使用Dropbox的調查報告顯示，受訪1300多位商業人士中，每5人就有1人在工作中使用Dropbox存儲商業檔，而且大部分人員均繞過IT部門私下使用，其中， 高層主管還是最大的使用族群。

在上述情況下，企業既不能不允許採用影子IT服務，因為很可能競爭對手也正在採用此類雲服務以提高生產效率，但採用後，又存在許多潛在隱患。 「這便需要一種折中的方案，使得企業內部有能力將自身的IT管理、遵從方法擴張到雲上去。 」李剛表示，目前賽門鐵克針對這樣的需求已有相應解決方案，其實質是一種雲安全閘道。 企業內部員工在使用雲服務，通過商業網路連向外部時，其就能夠識別出使用的雲服務，然後對雲服務進行管控，並查看部門和員工使用雲服務的過程中，是否符合公司的安全的策略，是否有資訊未經審批透露出去等。

法規缺失制肘雲服務普及

另外，企業對雲服務模式採用的增加還有賴於法律、法規環境的進一步加強。 對於企業而言，將非核心業務交付給雲供應商後，需要法律、法規對於服務水準、安全性、可靠性以及服務中斷等問題及責任進行界定，但目前區別于美國等地，對資訊服務有明確的規章制度，目前我國相關法律、法規建設還在摸索階段。

「這也是為什麼在中國私有雲比公有雲的發展快的原因。 因為私有雲實際上是企業內部試圖利用雲的概念，來增強IT靈活性、降低成本；而公有雲服務現在還存在這樣的問題，這就需要衡量風險與回報的收益了。 」李剛說道。

但李剛也表示有很多時候在沒有法規的情況下，一些新生事物也很容易被使用者所接受，最顯著的例子便是早期B2C、C2C發展歷程。 「最開始電子商務發展時並未有很多的法規規定出臺，當大家發現電子商務特別方便時，產業很快膨脹起來。 對於中國雲計算服務，也並不排除這樣的可能性，或許某一天便爆發式增長起來，儘管法規可能會滯後一些。 」

私有雲：伺服器安全防護更重要

在李剛看來，企業採用雲計算服務後安全水準的降低並不是絕對的。 雖然公用雲服務對於大型企業等，風險敞口擴大，但對於小型企業而言，或許是收斂了。 因為小型企業可能本來安全資源投入有限，採用雲服務後，雲服務供應商的安全級別可能更高。 無論如何，企業採用雲服務的顧慮，事實上可以歸結為企業有沒有意識到風險的存在，以及有沒有能力去審核並證明安全性。

另外，儘管企業在接受雲服務模式時存在各種疑慮，但許多企業並未忽略雲計算所帶來的優勢，開始搭建私有雲，降低成本、強化自身IT能力。 縱觀國內雲計算的整體發展，目前也呈現私有雲發展靠前的現狀。

「從安全形度看，實際上對企業而言，私有雲建設將風險更加集中了。 」李剛說道。 傳統企業內部的系統建設都是成煙筒狀，跨入雲環境後，可能風險就更加集中了。 但「風險集中倒並不一定是壞事。 當風險集中之後後，企業可能更容易去管控。 」

李剛解釋道，畢竟雲環境跟傳統環境並不相同，很多企業用虛擬化作為私有雲的一個實現技術，而在虛擬化環境中，對系統的保護與原來的實體環境裡是完全不一樣的。 從企業內部來看，很可能是一個混合環境，即既有傳統的實體環境，又有虛擬環境來構成所謂的私有雲。

在這種情況下，便需要新技術去實施保護。 例如傳統在一個資料中心的防護上，是採用傳統的安全域，通過網路的方式去保護一個資料中心，但是現在這種防護在虛擬化環境中並不夠用，同時因為虛擬化環境很容易就跨越了傳統定義的域，虛擬化環境使得安全域的概念模糊，邊界模糊。 「那麼這時候，企業就需要考慮到以前不太重視的直接對伺服器的保護。 」李剛指出，傳統在伺服器端的很少實施安全保護，一般業界均重視網路、終端保護，並仰仗于資料中心的網路隔離等實施保護。 但是在私有雲中，邊界相對模糊，並很容易被突破，這個時候保護好伺服器本身就顯得十分關鍵。

雲計算催生新軟體交付模式

雲計算作為IT發展的大背景，對於企業而言既是機遇也是挑戰，同時對於設備供應商、技術服務提供者而言，雲計算帶來的更是變革！ 對於賽門鐵克而言也不例外。

目前，利用雲計算包括賽門鐵克在內的軟體廠商已有自己新的業務模式出現。 傳統軟體均是以許可證的方式提供給使用者，使用者通過許可證授權自行安裝。 而雲模式誕生後，許多軟體、服務便可以通過雲模式提交給使用者，免除了使用者自行買軟體、搭系統，再將搭建環境集成到現有環境中的複雜實施，而這些軟體廠商在雲時代便成功轉身為雲服務提供者。 據悉，目前，賽門鐵克已經可以向全球客戶提供16種雲服務，包括備份、歸檔、網路安全、加密、業務連續性、驗證服務等。 同時賽門鐵克也即將在中國開展雲服務Symantec.cloud以滿足企業在安全性、靈活性與高效率方面的需求。

同時，通過雲模式將IT安全服務等交付給使用者也將成為未來IT安全發展的重要趨勢。 Gartner預測，到2015年，10%的IT安全企業功能將通過雲計算交付，雖然目前的焦點仍在於通信、Web安全和遠端漏洞評估。 然而，預計還將出現更多技術來支援雲計算的成熟發展，例如資料丟失防護、加密、身份驗證等。

事實上，包括但不限於雲服務供應商，在雲時代，李剛表示賽門鐵克將扮演三大角色：一是賽門鐵克本身就是雲服務供應商；二是其將説明使用者搭建雲；三是説明使用者安全可靠地使用雲。

對話：賽門鐵克大中國區技術支援部總監 李剛

Q：雲計算經過幾年探討，逐漸走向落地，2013年雲計算發展將會呈現什麼特點？

李剛：2013年雲計算的應用和普及會進一步加速。 因為雲計算為業務帶來的回報仍高於初期的投入成本，而且中國在雲計算領域有大量的前期投入，包括政府在內均投入大量資源建設產業園、雲基地等，這些預先投入將在2013年逐漸展現出它的推動力量和拉動力量，並降低雲計算的進入門檻。

另一方面,雲計算所帶來的風險將從2013年開始日益顯著。 目前業界在這方面的關注程度、意識還不夠高，所以在前期會出現一些雲計算風險的問題。 隨著這些風險的逐步揭示，業界可能會更加重視雲計算及其風險問題，可能促使未來雲計算服務、環境變得更加安全。

Q:對於雲計算潛在風險，企業應該怎麼應對？

李剛：首先企業、使用者需要知道風險是確實存在，並瞭解其在什麼地方，然後借助一些新的技術手段去管理這些風險。 事實上，最為關鍵的問題在於企業能不能承認風險的存在，並去部署這些技術和手段。

Q：目前國內企業在私有雲搭建過程中有哪些誤區，及值得關注的地方？

李剛：國內企業在私有雲搭建上，思路應不要太拘泥于一些樣式和技術，其實很多IT新事物出現後，均會有這個現象。 對於私有雲和虛擬化，企業有時候會產生一些混淆，認為虛擬化後就是雲，或者認為只要是雲就必須虛擬化。 實際上兩者沒有必然的推導關係，因為雲模式更重要是流程、使用方式，是服務的一種方式，例如包含按需擴展等特點，並不在於用什麼技術實現。

另外，在私有雲建設的時，需要把安全建設考慮在先，因為它畢竟是一個雲模式，打破了傳統IT建設裡面以邊界、安全域為出發點的一些安全防護的建設思路。 再者安全要前置、主動，把安全這種防控手段跟雲的建設同時考慮，並且在私有雲模式下，這也變得可行。

(責任編輯：蒙遺善)